十加密技术标准法律法规.pptxVIP

介绍 第十章 加密技术标准、法律法规 加密技术标准 数字签名标准和电子签名法 安全电子交易规范SET 国外相关PKT体系建设标准 国内相关PKT体系建设标准 ISO7498-2安全标准 ISO7498-2提供了以下五种可选择的安全服务 认证 访问控制 数据保密 数据完整性 防止否认 Authentication Access control Data Integrity Data Confidentiality （Non-reputation 加密技术标准 数字加密标准DES 高级加密标准AES 数字签名标准 数字签名 数字签名标准 数字签名标准DSS(美国) 数字签名 对文件进行加密解决了传送信息的保密问题，而防止他人对传输的文件进行破坏，以及如何确定发信人的身份还需要采取其它的手段，这一手段就是数字签名。在电子商务安全保密系统中，数字签名技术有着特别重要的地位，在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中，都要用到数字签名技术。在电子商务中，完善的数字签名应具备签字方不能抵赖、他人不能伪造、在公证人面前能够验证真伪的能力。 数字签名技术 数字签名基于公共密钥体制 A传送方 B接收方 数字签名标准DSS 数字签名的应用涉及到法律问题 1991年8月30日, 美国国家标准与技术学会NIST公布了数字签名标准DSS （现在叫联邦信息处理标准FIPS） 指定数字签名算法（DSA） DSS签名使用FIPS l80-1和安全hash标准（SHS）产生和核实数字签名 指定安全hash算法（SHA） 电子签名法 数字签名的应用涉及到法律问题 法国是第一个制定数字签名法的国家 美国于1991年公布数字签名标准（DSS）后，部分州已制定了数字签名法 安全电子交易规范SET 在开放的因特网上处理电子商务，保证买卖双方传输数据的安全成为电子商务的重要的问题。为了克服SSL安全协议的缺点，满足电子交易持续不断地增加的安全要求，为了达到交易安全及合乎成本效益的市场要求，VISA国际组织及其它公司如Master Card、Micro Soft、IBM等共同制定了安全电子交易（SET：Secure Electronic Transactions）公告。这是一个为在线交易而设立的一个开放的、以电子货币为基础的电子付款系统规范。 SET协议要达到的目标 （1）保证电子商务参与者信息的相互隔离。客户的资料加密或打包后边过商家到达银行，但是商家不能看到客户的帐户和密码信息； （2）保证信息在Intemet上安全传输，防止数据被黑客或被内部人员窃取； （3）解决多方认证问题，不仅要对消费者的信角卡认证，而且要对在线商店的信誉程度认证，同时还有消费看、在线商店与银行间的认证； （4）保证了网上交易的实时性，使所有的支付过程都是在线的； （5）规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。 SET安全协议的工作原理 （1）消费者利用已有的计算机通过因特网选定的物品，并下电子订单（关于产品属性的字段）； （2）通过电子商务服务器与网上商场联系，网上商场做出应答，告诉消费者的订单的相关情况（是否改动以及关于购买属性的关键字段）； （3）消费者选择付款方式，确认订单，签发付款指令（此时SET介入）； （4）在SET中，消费者必须对定单和付款指令进行数字签名，同时利用双重签名技术保证商家看不到消费者的帐号信息； （5）在线商店接受定单后，向消费者所在银行请求支付认可，信息通过支付网关到收单银行，再到电子货币发行公司确认，批准交易后，返回确认信息给在线商店； （6）在线商店发送定单确认信息给消费者，消费者端软件可记录交易日志，以备将来查询； （7）在线商店发送货物或提供服务，并通知收单银行将钱从消费者的帐号转移到商店帐号，或通知发卡银行请求支付。 SET协议的意义 SET主要使用电子认证技术，其认证过程使用RSA和DES算法，因此，可以为电子商务提供很强的安全保护; 由于安全电子交易规范是由信用卡发卡公司参与制定的，一般认为，安全电子交易规范的认证系统是有效的; SET规范是目前电子商务中最重要的协议，它的推出必将大大促进电子商务的繁荣和发展; SET将建立一种能在因特网上安全使用银行卡进行购物的标准。 SET协议存在的一些问题 协议没有说明收单银行给在线商店付款前，是否必须收到消费者的货物接收证书。如果在线商店提供的货物不符合质量标准，消费者提出异议，责任由谁承担？ 协议没有担保“非拒绝行为”，这意味着在线商店没有办法证明订购是由签署证书的、讲信用的消费者发出的； SET技术规范没有提及在事务处理完成后，如何安全地保存或销毁此类数据，是否应当将数据保存在消费者、在线商店